Le Commissaire à la protection des données de l’Irlande (DPC) estime que le réseau social ne peut pas envoyer les données personnelles de ses utilisateurs issus de l'Union européenne aux USA. Facebook n'entend pour l'instant pas se conformer à l'ordonnance délivrée par le régulateur.
Historiquement, les grandes entreprises du numérique présentes et actives sur le sol européen comme Facebook, prélèvent les données des utilisateurs pour les rapatrier ensuite aux États-Unis où se trouve leur siège social. Une pratique que le géant des réseaux sociaux estimait jusqu'à présent légale. Mais c'était sans compter sur l'intervention du Commissaire à la protection des données de l’Irlande (Data Protection Commissioner ou DPC), la CNIL irlandaise, qui demande la suspension de ce transfert des données UE-USA.
Les clauses contractuelles types, un mécanisme d'exception qui protégeait le transfert de données
Pour justifier le transfert de données entre l'Union européenne et les États-Unis, plus de 5 000 entreprises comme Facebook s'appuient encore aujourd'hui sur le bouclier de protection des données, qui justement régit juridiquement l'envoi des données. Un bouclier qui a été invalidé par la Cour de justice de l'Union européenne, dans un arrêt rendu le 16 juillet 2020. Le mécanisme des clauses contractuelles types, adopté par la Commission européenne, fait office d'exception et permet le transfert des données mais à la condition alors que l'exportateur de données, ici Facebook, garantisse un niveau élevé de protection des personnes concernées.
La Commission irlandaise de protection des données a débuté une enquête de taille il y a plusieurs semaines à l'encontre du transfert de données de Facebook depuis l'Union européenne vers les États-Unis. Et selon elle, les clauses contractuelles types ne peuvent en pratique pas être utilisées pour justifier le transfert de données.
Le réseau social ne compte pas changer de position
Facebook n'accueille évidemment pas très bien la décision préliminaire du gendarme des données irlandais, assurant dans un communiqué publié le 9 septembre avoir « mis en place des garanties solides, telles que des mesures de cryptage et de sécurité conformes aux normes de l'industrie », ainsi que des « politiques complètes régissant la manière dont nous répondons aux demandes légales de données ».
Le groupe Facebook avait bien conscience de l'invalidation du bouclier de protection des données, mais il pensait que les clauses contractuelles types restaient valables. Celui-ci assure d'ailleurs qu'il continuera à transférer des données entre l'UE et les USA « conformément à la récente décision de la CJUE et jusqu'à ce que nous recevions de plus amples informations ».
En refusant de se conformer à l'ordonnance du régulateur irlandais, qui a compétence européenne s'agissant des données personnelles, Facebook encoure une amende pouvant atteindre jusqu'à 4 % de son chiffre d'affaires annuel. Soit 2,8 milliards de dollars.
La fin des transferts de données ? Les terribles conséquences soulevées par Facebook
Prêchant forcément pour sa paroisse, Facebook n'a pas manqué non plus de soulever les conséquences sur la société de l'impossibilité de se prévaloir des clauses contractuelles types. Selon la plateforme, l'impact toucherait de nombreux secteurs et entreprises, petites et grandes. « Un manque de transferts de données internationaux sûrs, sécurisés et légaux nuirait à l'économie et entraverait la croissance des entreprises axées sur les données dans l'UE », déclare-t-elle.
La firme de Mark Zuckerberg illustre sa réaction avec plusieurs exemples qui parlent à tous. « Un détaillant français constaterait qu'il ne peut plus maintenir un centre d'appels au Maroc. [….] Une société espagnole de développement de produits ne pourrait plus exécuter une opération sur plusieurs fuseaux horaires. [….] Une petite start-up allemande ne pourrait plus utiliser un fournisseur de cloud basé aux États-Unis ».
Et Facebook voit des conséquences bien au-delà, notamment dans les domaines de la santé et l'éducation. Maniant bien l'ironie, le réseau social ne manque pas de rappeler que l'application irlandaise de suivi de contacts contre la Covid-19, s'appuie sur les clauses contractuelles types pour transférer des données vers l'un de ses processeurs aux États-Unis. Et l'entreprise d'appeler l'ensemble des pays de l'Union européenne et régulateurs à « adopter une approche proportionnée et pragmatique pour minimiser les perturbations ».
Source : Facebook
